Исследователи компании Eclypsium в свежем отчете сообщают об обнаружении целого набора уязвимостей в четырех пользовательских устройствах IP-KVM. Как следует из названия, они позволяют удаленно управлять компьютером, эмулируя клавиатуру, мышь и внешний дисплей. Компрометация таких устройств, соответственно, позволяет полностью перехватить контроль над управляемым компьютером. В Eclypsium справедливо предположили, что дешевые (от 30 до 100 долларов) пользовательские устройства будут хуже защищены, чем аналогичные решения для применения в корпоративных сетях.
Далеко не все обнаруженные уязвимости приводят к немедленному взлому. В GL-iNet Comet RM-1 были обнаружены четыре проблемы. Одна из них заключается в отсутствии контроля доступа по физическому серийному порту. Хотя это и не самая лучшая практика с точки зрения физической защищенности устройства, для удаленного взлома она бесполезна. Еще одна типичная проблема таких устройств — отсутствие верификации обновлений прошивки. Точнее, для этого используется хеш MD5, но он встроен в сам файл прошивки. Эти две уязвимости производитель устройства отказался чинить. Зато закрыл две другие проблемы. Во-первых, при загрузке устройство «стучалось» на сервер производителя. Соединение зашифровано, но предлагаемый сервером сертификат на устройстве не проверялтся. Это, по мнению специалистов Eclypsium, создавало возможности для проведения атаки типа man-in-the-middle. Но результатом такой атаки будет не взлом, а только отказ в обслуживании.
Реально опасной проблемой было отсутствие ограничений на количество попыток входа в веб-интерфейс, что открывало возможность получения доступа методом перебора пароля. После сообщения Eclypsium, производитель внедрил в бета-версии прошивки устройства ограничение в 10 попыток ввода пароля с последующим блокированием запросов.
А вот в устройстве Angeet/Yeeso ES3 KVM нашлась реально серьезная проблема. Для решения собственных вендорских задач в нем открыт доступ к порту 8888, через который на устройство можно загрузить и выполнить произвольный файл без какой-либо авторизации. Еще одна ошибка, связанная с отсутствием проверки пользовательского ввода, позволяет, в комбинации с бэкдором, выполнять команды от имени суперпользователя и таким образом полностью скомпрометировать устройство. Данный производитель на момент подготовки материала пообещал исправить проблемы «когда-то» в будущем.
В достаточно популярном устройстве Sipeed NanoKVM был обнаружен интерфейс для настройки Wi-Fi, на котором не работает аутентификация пользователей. В результате открывалась возможность проведения атак трех разных видов. Первый вариант атаки позволял вынудить устройство отключиться от обычной Wi-Fi-сети и подключиться к другой точке доступа, контролируемой атакующим. Второй также предусматривал подключение к сети злоумышленника, но предполагаел реализацию атаки man-in-the-middle с перехватом трафика. Третий приводил к отказу в обслуживании за счет отправки на данный интерфейс бесконечных запросов, пока устройство не перезагружало процесс, обеспечивающий работу KVM. Впрочем, этот производитель оперативно отреагировал на сообщения исследователей и к моменту публикации отчета закрыл все уязвимости.
В еще одном популярном устройстве JetKVM было обнаружено две уязвимости (на момент публикации отчета обе были уже закрыты). Первая уязвимость аналогична проблеме в устройстве GL-iNet: по мнению Eclypsium, недостаточно тщательно проверялась подлинность файлов обновления прошивки. Здесь также использовалась хеш-сумма, в то время как адекватным методом является применение криптографической подписи. Кроме того, и в этом устройстве не было ограничения на количество попыток входа. Проблема усугублялась спецификой пользовательского интерфейса: отсутствует логин, требуется ввести только пароль. Ограничений на минимальную длину пароля нет, он может и вовсе быть пустым.
Хотя реально опасная проблема была найдена только в одном устройстве из четырех изученных, рекомендации по усилению безопасности при работе с устройствами IP-KVM имеют смысл прежде всего в том, что касается ограничения доступа к их интерфейсу по сети. Как минимум обязательно использование сильных паролей и многофакторной аутентификации там, где она поддерживается.
Что еще произошло
Опубликован свежий отчет экспертов «Лаборатории Касперского» о новой кампании группировки Head Mare. В этой атаке, нацеленной на Российские компании, используются зараженные файлы легитимного клиентского приложения TrueConf.
Еще один подробный отчет о безопасности IoT-устройства, в данном случае — видеокамеры Xiaomi C400. ��сследователи TASZK Security Labs проанализировали прошивку и нашли три уязвимости, две из которых в комбинации открывают возможность удаленного выполнения произвольного кода на устройстве.
В августе прошлого года компания Google объявила о планах по ограничению возможности запуска приложений на устройствах Android — по сути планировалось заблокировать установку сторонних программ, разработчики которых не прошли верификацию. После волны критики способ запуска произвольных программ решили оставить, и на прошлой неделе в блоге компании были опубликованы детали — как именно это будет работать. Установка программ вручную все же будет ограничена, чтобы затруднить использование этого механизма для распространения вредоносных и мошеннических приложений. С сентября 2026 года для включения этой возможности нужно будет активировать режим разработчика, подтвердить, что вы это делаете добровольно, а не по чьей-то просьбе-требованию и подождать 24 часа. После этого стороннюю установку приложений можно будет разрешить только один раз или навсегда.
Издание BleepingComputer сообщает о случаях использования злоумышленниками легитимного сервиса нотификаций от службы Microsoft Azure для рассылки спама. Для этого система нотификаций настраивается так, чтобы рассылать «подготовленное» сообщение на определенный e-mail, с которого далее письма перенаправляются по большому списку адресов. В результате пользователи получают легитимные сообщения с мошенническим содержимым.
Серьезная и пока не до конца пропатченная уязвимость обнаружена в софте для работы интернет-магазинов Magento и Adobe Commerce.
Скомпрометировано ПО Trivy для поиска уязвимостей и ошибок конфигурации в репозиториях кода, контейнерах и облачной инфраструктуре. Взлом учетных данных разработчика привел к компрометации репозитория программы на GitHub, в результате с него распространялась версия ПО, зараженная инфостилером.
